package com.itheima.security.distributed.gateway.filter;
import com.alibaba.fastjson.JSON;
import com.itheima.security.distributed.gateway.common.EncryptUtil;
import com.netflix.zuul.ZuulFilter;
import com.netflix.zuul.context.RequestContext;
import com.netflix.zuul.exception.ZuulException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.oauth2.provider.OAuth2Authentication;
import org.springframework.security.oauth2.provider.OAuth2Request;
import java.util.ArrayList;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

/**
 * @author Administrator
 * @version 1.0
 **/
public class AuthFilter extends ZuulFilter {

    @Override
    public boolean shouldFilter() {
        return true;
    }

    @Override
    public String filterType() {
        return "pre";
    }

    @Override
    public int filterOrder() {
        return 0;
    }

    /**
     *  Token 已经在前面的 Spring Security 过滤链中被解析过了。
     *
     * 你在使用的是基于 Spring Security + OAuth2 的认证机制，在网关 Zuul 接收到请求之前，Spring Security 的过滤器链已经完成了以下工作：
     * 请求头中携带了 Authorization: Bearer <access_token>。
     * Spring Security 内置的 OAuth2AuthenticationProcessingFilter 拦截请求：
     * 解析 Token。
     * 校验签名和有效期。
     * 从 Token 中提取用户身份信息（如用户名、权限）。
     * 构建 Authentication 对象（通常是 OAuth2Authentication 类型）并放入 SecurityContextHolder。
     * 因此，到了你的 AuthFilter 时，用户信息已经是解析好的状态。
     * @return
     * @throws ZuulException
     */
    @Override
    public Object run() throws ZuulException {
        RequestContext ctx = RequestContext.getCurrentContext();
        //从安全上下文中拿 到用户身份对象
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        if(!(authentication instanceof OAuth2Authentication)){
            return null;
        }
        OAuth2Authentication oAuth2Authentication = (OAuth2Authentication) authentication;
        Authentication userAuthentication = oAuth2Authentication.getUserAuthentication();
        //取出用户身份信息
        /*在当前的 OAuth2 认证上下文中，userAuthentication.getName() 获取的身份信息（即 principal）通常是经过认证的用户唯一标识，
        一般为用户的：
        用户名（username）
        或 用户ID（如 UUID、数据库主键 ID）*/
        String principal = userAuthentication.getName();

        //取出用户权限
        List<String> authorities = new ArrayList<>();
        //从userAuthentication取出权限，放在authorities
        userAuthentication.getAuthorities().stream().forEach(c->authorities.add(c.getAuthority()));

        OAuth2Request oAuth2Request = oAuth2Authentication.getOAuth2Request();
        Map<String, String> requestParameters = oAuth2Request.getRequestParameters();
        Map<String,Object> jsonToken = new HashMap<>(requestParameters);
        if(userAuthentication!=null){
            jsonToken.put("principal",principal);
            jsonToken.put("authorities",authorities);
        }

        //把身份信息和权限信息放在json中，加入http的header中,转发给微服务
        /*
        将用户的身份和权限信息构建成 JSON 字符串，使用 UTF-8 编码后,
        通过 EncryptUtil.encodeUTF8StringBase64 方法进行 Base64 编码，最终作为 json-token 请求头添加到 Zuul 的转发请求中,
        供后续微服务使用。
        */
        ctx.addZuulRequestHeader("json-token", EncryptUtil.encodeUTF8StringBase64(JSON.toJSONString(jsonToken)));

        return null;
    }
}
